Toisiolain mukaiset käyttöympäristöt

Toisiokäyttöympäristöjen tietoturvan ja tietosuojan edistäminen ja valvonta

Valvira valvoo ja edistää sitä, että sosiaali- ja terveystietojen toisiokäyttöympäristöt täyttävät tietosuojaa ja tietoturvaa koskevat vaatimukset. Käyttöympäristöjen vaatimukset perustuvat Sosiaali- ja terveysalan tietolupaviranomaisen Findatan määräykseen. Valvira valvoo sekä Findatan tarjoamaa käyttöympäristöä että muiden palveluntarjoajien tarjoamia tietoturvallisia käyttöympäristöjä. Lisäksi Valvira ylläpitää julkista rekisteriä sille ilmoitetuista, vaatimukset täyttävistä käyttöympäristöistä.

Yksittäisten henkilöiden sosiaali- ja terveystietojen toissijainen käyttö tieteellisessä tutkimuksessa ja tilastoinnissa, opetusaineiston valmistamisessa sekä viranomaisen suunnittelu- ja selvitystehtävissä edellyttää 1.5.2022 alkaen tietoluvan lisäksi Sosiaali- ja terveysalan tietolupaviranomaisen Findatan määräyksessä kuvattujen vaatimusten mukaista tietoturvallista käyttöympäristöä. Aineistot luovutetaan pääsääntöisesti Findatan käyttöympäristöön. Toisiolaki mahdollistaa kuitenkin tietojen luovuttamisen myös muuhun käyttöympäristöön, mikäli se on välttämätöntä ja jos käyttöympäristöllä on tietoturvallisuuden arviointilaitoksen myöntämä vaatimustenmukaisuustodistus ja käyttöympäristö on rekisteröity Valviran toisiokäyttöympäristöjen rekisteriin.

Käyttöympäristöjen tietoturvan arviointia voivat tehdä Liikenne- ja viestintäviraston Traficomin hyväksymät tietoturvallisuuden arviointilaitokset. Traficom on myös määritellyt, millä edellytyksillä sen hyväksymä arviointilaitos voi tehdä lain mukaisen käyttöympäristön tietoturvallisuuden arvioinnin ja antaa vaatimustenmukaisuustodistuksen vaatimusten täyttymisestä. ​​​​​​​Arviointilaitokset, joilla on tarvittava pätevyys, löytyvät Kyberturvallisuuskeskuksen sivuilta.

Ennen 1.5.2022 tietoja voidaan luovuttaa luvansaajan käsiteltäväksi lain nojalla, vaikka tietolupahakemuksessa ei osoitettaisi laissa tarkoitettua tietoturvallista käyttöympäristöä tietojen käsittelylle. Tietojen luovuttaminen edellyttää tällöin määräajaksi annettua tietolupaa, joka on voimassa enintään 30.4.2022 asti.

Toisiokäyttöympäristöjen vaatimukset perustuvat

• lakiin sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019) sekä
• Sosiaali- ja terveysalan tietolupaviranomaisen Findatan määräykseen.

Käyttöympäristö täytyy ilmoittaa Valviran toisiokäyttöympäristöjen rekisteriin, mutta ennen rekisteröintiä ja käyttöönottoa sen täytyy täyttää tietosuoja- ja tietoturvavaatimukset. Ympäristön palveluntarjoaja on velvollinen osoittamaan, että käyttöympäristö on vaatimusten mukainen. Tietosuoja- ja tietoturvavaatimusten pitää täyttyä myös käyttöönoton jälkeen koko sen ajan, kun käyttöympäristö on tuotantokäytössä ja Valviran rekisterissä. Tietoturva ja tietosuoja tulee huomioida mm. riskienhallinnan toimenpiteissä, käyttöympäristön muutostilanteissa ja tietoturvan hallintamallissa. Käyttöympäristön palveluntarjoaja on myös velvollinen seuraamaan ja arvioimaan järjestelmällisesti tuotantokäytön aikana saatavia kokemuksia.

Palveluntarjoaja on voimassa olevalla tietoturvallisuuden arviointilaitoksen todistuksella, ajantasaisella dokumentaatiolla ja tarvittaessa teknisestä käyttöympäristöstä velvollinen osoittamaan, että käyttöympäristö on vaatimustenmukainen.

Valvira valvoo toisiolain mukaisia käyttöympäristöjä mm. arviointi- ja ohjauskäynneillä, selvityksillä ja tarkastuksilla.